DSGVO vs. E-Privacy VO vs. Online-Marketing · Personenbezogene Daten Alle Daten, welche sich auf...
Transcript of DSGVO vs. E-Privacy VO vs. Online-Marketing · Personenbezogene Daten Alle Daten, welche sich auf...
DSGVO vs. E-Privacy VO vs. Online-Marketing
Philipp Amann
• Datenschutzbeauftragter der Innsbrucker Kommunalbetriebe AG
• Zertifizierter DSB nach Austrian Standards
• Consultant für IT-Security, Awareness, DSGVO Umsetzung,
Data Protection und ISMS/DSMS Implementierung.
IKB | 08.11.2018 | Seite 3
Bitte, woher haben Sie meine Daten?
…und was haben Sie bitte dafür bezahlt?
Was ändert(e) sich jetzt wirklich mit der DSGVO?
E-Privacy vs. DSGVO
Wo liegen die echten Gefahren für Unternehmen?
Was darf ich überhaupt noch tun?
Woher, bitte, haben Sie meine Daten?
IKB | 08.11.2018 | Seite 4
IKB | 08.11.2018 | Seite 5
Kostenlos
IKB | 08.11.2018 | Seite 6
?
IKB | 08.11.2018 | Seite 7
Quelle: Financial Times „How much is your personal data worth? 2013
“
….und was, bitte, hat man Ihnen dafür gezahlt?
IKB | 08.11.2018 | Seite 8
Joe
Männlich
23
New York
Quelle Süddeutsche Zeitung 6. Juni 2018
IKB | 08.11.2018 | Seite 9
Fitnesstracker und Co…
IKB | 08.11.2018 | Seite 10
Welcome, EUDSGVO!Wir haben Dich schon erwartet…
IKB | 08.11.2018 | Seite 11
Beschlossen 27.04.2016, gültig ab 25.05.2018
Ziel:
• „One Standard for All“ - EU
• Eindämmung der ungeregelten Datensammlung
• Wiedererlangen der Kontrolle über die eigenen Daten
Strafen bis zu 20 Millionen Euro bzw. 4 % des weltweiten Konzernumsatzes sind möglich.
Personenbezogene Daten
Alle Daten, welche sich auf eine natürliche
Person beziehen.
• Name, Adresse, Telefonnummer
• E-Mail Adresse
• Schuhgröße
• Haarfarbe
• Hobbies
• Finanzielle Verhältnisse
• IP Adresse, bevorzugter Browser
• Cookies
• Bewegungsdaten (GPS Location)
• …
Besondere Kategorien personenbezogener Daten
Besonders sensible Daten gem. Art 9 Abs 1
• Rassische oder ethnische Herkunft,
• Politische Meinungen,
• Religiöse oder weltanschauliche Überzeugungen,
• Gewerkschaftszugehörigkeit,
• Genetische Daten,
• Biometrische Daten,
• Gesundheitsdaten,
• Sexualleben sowie sexuelle Orientierung.
Datenkategorien
IKB | 08.11.2018 | Seite 12
Sonderfall: Daten über
strafrechtliche Verurteilung und
Straftaten
• Rechtmäßigkeit der Verarbeitung
• Verarbeitung nach Treu und Glauben
• Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit der Verarbeitung
• Speicherbegrenzung
• Integrität und Vertraulichkeit
Die neuen SpielregelnGrundsätze der Datenverarbeitung (Art 5 Abs 1 DSGVO)
IKB | 08.11.2018 | Seite 13
DIE VERARBEITUNG PERSONENBEZOGENER
DATEN IST VERBOTEN
IKB | 08.11.2018 | Seite 14
Erheben
ErfassenOrganisieren
Verändern
OrdnenAbfragen
Anpassen
Speichern Auslesen
Verwenden
AbgleichenÜbermittelnVerknüpfen
Offenlegen
Einschränken
Löschen
Vernichten
In Papierform geordnet ablegen
Datenverarbeitung?
Anzünden
Kopieren
außer …
IKB | 08.11.2018 | Seite 15
• die Verarbeitung ist für die Erfüllung eines Vertrags unabdingbar
• der Verarbeiter hat eine gesetzliche Verpflichtung die Daten zu verarbeiten
• die Verarbeitung ist erforderlich um ein lebenswichtiges Interesse des Betroffenen zu schützen
• der Verarbeitung ein öffentliches Interesse bzw. eine öffentliche Gewalt zugrunde liegt
• die Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortlichen notwendig ist (Bsp.
Direktes Marketing - Erwägungsgrund 47)
• der Betroffene hat der Verarbeitung explizit zugestimmt
Dokumentationspflicht
- Verzeichnis der Verarbeitungstätigkeiten (VdV)
- Protokollierung von Datenerfassungen/-Zugriffen/-Veränderungen/-Löschungen
- Protokollierung von Betroffenenrechten und Data Breaches
Informationspflicht
- Umfassende Information an den Betroffenen
- Umfassende Auskunft an den Betroffenen
- Auskunft über Verarbeitungstätigkeiten an
Behörde (VdV) per Knopfdruck
Mehr Eigenverantwortung für Unternehmen
IKB | 08.11.2018 | Seite 16
- Rechenschaftspflicht (Art. 5 DSGVO) mit
Beweislastumkehr (Art. 82 DSGVO)
- Schadenersatzklagen durch Betroffene
- „Abmahnvereine“ oder NGO`s als Vertreter
Betroffener – „Sammelklage“ (DE, FR,…)
- Imageschaden bei Publikation von DS Verstößen
(Data Breach Notification)
- Immenser Aufwand bei der Erfüllung von
Betroffenenrechte
- Kopplungsverbot - Zustimmung muss freiwillig
erfolgen (Art. 7 Abs. 4 DSGVO & Erwägungsgrund
43)
- (Unabsichtlicher) Verstoß gegen die
Nichtverkettbarkeit
IKB | 08.11.2018 | Seite 17
Die echten Gefahren für Unternehmen
Quelle:diepresse.com
- DSGVO ist eine „GRUNDverordnung“ (lex generalis)
- E-Privacy-VO wird ein lex specialis und regelt einen
Teilbereich Die (elektronischen) Kommunikationswege
- Gilt lt. Vorschlag der EU Kommission
„…für die Verarbeitung elektronischer Kommunikationsdaten,
die in Verbindung mit der Bereitstellung und Nutzung
elektronischer Kommunikationsdienste erfolgt, und für
Informationen in Bezug auf die Endeinrichtungen der Endnutzer“
IKB | 08.11.2018 | Seite 18
DSGVO vs. E-Privacy VO
Elektronische Kommunikationsdaten
- Elektronische Kommunikationsinhalte
- Whatsapp Message: „Schatz, es wird heute etwas später“
- Kommentar auf einen Blogbeitrag
- Inhalt einer Webseite
- Daten eines Streams
- …
- Elektronische Kommunikationsmetadaten
- Gesendet von 0676 XXXX an 0664 XXXX um 17.30 Uhr
- Remote Adress: 244.123.1.5 Referer: plus.google.com/…; Request:orf.at User
Agent: Mozilla…
- L3/L4 und L7 Headers
- …
IKB | 08.11.2018 | Seite 19
E-Privacy VO I
Elektronische Kommunikationsdienste
Sämtliche Wege zur Übertragung elektronischer Kommunikation
- z.B. Whatsapp, Facebook, Skype, Gmail, …
- Browserkommunikation mit Client
- Streaming, Telefonanrufe, …
Endeinrichtung der Endbenutzer
- Smart Devices, Laptops, Tablets, etc.
- Smart TV, Streaming Devices (Apple TV, …), etc.
- „Internet of Things“ – Glühbirne, Kühlschrank, …
- „Smart-“ Auto, -Motorrad
- …
IKB | 08.11.2018 | Seite 20
E-Privacy VO II
Vertraulichkeit der Kommunikation (Art. 6)
„Verbotsgesetz mit Ausnahmeregelung“
• Verarbeitung von Kommunikationsdaten nur zulässig, wenn:
• sie zur Durchführung der Übermittlung der Kommunikation nötig ist, für
die dazu erforderliche Dauer…
• Aufrechterhaltung oder Wiederherstellung der Sicherheit
elektronischer Kommunikationsnetze…
• Kommunikationsmetadatenverarbeitung nur zulässig, wenn:
• Rechtsgrundlage vorliegt: z. B. Rechnungstellung, Vertragserfüllung, …
• Einwilligung, sofern nicht anonyme Verarbeitung möglich
• Kommunikationsinhalteverarbeitung nur zulässig, wenn:
• Bereitstellung des Dienstes
• Einwilligung, außer es ist eine anonyme Verarbeitung möglich
IKB | 08.11.2018 | Seite 21
E-Privacy VO III
Schutz der in Endeinrichtungen der Endnutzer gespeicherten oder sich auf diese
beziehende Informationen – Art. 8 Abs. 1
(1) Jede vom betreffenden Endnutzer nicht selbst vorgenommene Nutzung der
Verarbeitungs-und Speicherfunktionen von Endeinrichtungen und jede Erhebung
von Informationen aus Endeinrichtungen der Endnutzer, auch über deren Software
und Hardware, ist untersagt, außer sie erfolgt aus folgenden Gründen:
a) sie ist für den alleinigen Zweck der Durchführung eines elektronischen
Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig oder
b) der Endnutzer hat seine Einwilligung gegeben oder
c) sie ist für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der
Informationsgesellschaft nötig oder
d) sie ist für die Messung des Webpublikums nötig, sofern der Betreiber des vom
Endnutzer gewünschten Dienstes der Informationsgesellschaft diese Messung
durchführt.
IKB | 08.11.2018 | Seite 22
E-Privacy VO IV
Was will man damit erreichen?
• Privacy by design/default kommt beim Endgerät an
• Keine verdeckte Datensammlung/Nutzung mehr
• Cookies und Profiling aka Tracking ist voll erfasst
• Es dürfen nur noch first party Cookies zum eigenen
Zweck verarbeitet werden. Tracking?
Art 10 Abs. 1, forciert durch Abs. 2
IKB | 08.11.2018 | Seite 23
E-Privacy VO V
Keine Kekse
mehr…
…und was heißt das für mich? (The DSGVO Edition)
• Bewusstsein schaffen! Management sensibilisieren, Mitarbeiter Schulen.
• Dokumentieren, Dokumentieren, Dokumentieren
• Verarbeitungstätigkeiten mit Daten und Verantwortlichen (VDV)
• Rechtmäßigkeit, Zweckmäßigkeit
• Besonders „berechtigte Interessen“
• Im Zweifelsfall immer die Einwilligung einholen
• Daten, für welche keine Zweck- oder Rechtmäßigkeit mehr vorliegt, werden gelöscht!
• Prozesse einführen wie gelöscht wird
• Systeme müssen das können!
• Respektieren Sie die Betroffenenrechte!
• Auskunft, Berichtigung, Sperrung, Löschung, Widerspruch
• Sehen Sie Prozesse zur Erfüllung vor. Proben Sie diese!
IKB | 08.11.2018 | Seite 24
Zusammenfassung
…und was heißt das für mich? (The E-Privacy-VO Edition)
• Behalten Sie die E-Privacy Verordnung im Auge!
• Betroffener soll wieder die Kontrolle über seine Daten bekommen:
• Cookies erfordern Opt-In!
• Zugriff auf 3rd Party Cookies soll Browsergesteuert werden
• Tracking soll über Browser gesteuert werden
• Einwilligung ist freiwillig und kann jederzeit widerrufen werden
• E-Mail-Marketing wird sich weiterhin am TKG orientieren
• Kommunikation übers Internet soll zukünftig verschlüsselt sein.
• Forced https
• Spannendes Thema E-Mail-Übertragung Zwingende Verschlüsselung?
• Telefonmarketing wird stärker geregelt
• Telefonanrufe zu Werbezwecken nur dann erlaubt, wenn
• der Anrufende seine Rufnummer offenbart oder
• einen verbindlichen Code verwendet, um zu signalisieren, dass es sich um einen Werbeanruf
handelt.
IKB | 08.11.2018 | Seite 25
Zusammenfassung II
Danke für die Aufmerksamkeit!
IKB | 08.11.2018 | Seite 26